Firewall IDS/IPS Antivirus Honeypots QoS VPN LDAP
PKI Autentizace Šifrování High Availability

Honeypots

Honeypot je systém využívající "jail-technology" přitahující potencionální útočníky. K tomuto účelu se používají například pro útočníka atraktivní DNS názvy jako jsou třeba gw.organizace.cz. Jediný systém zpravidla imituje produkční systém či dokonce celou produkční síť. Primárním úkolem je poučit se od nepřítele. Druhou možností je nasazení, kdy Honeypots nebudou mít žádné DNS záznamy a nepovedou na ně žádné odkazy. Na takový systém by logicky neměl směřovat žádný síťový provoz, neboť v podstatě neexistuje. Nevýhodou tohoto nasazení je skutečnost, že se nám může stát, že útočníků bude poměrně málo a navíc to nebudou útočníci. Oběma popsaným metodám řešení HoneyPots je společná ještě jedna velmi užitečná vlastnost. Využívá se zde staré známé pravdy, kterou znají všichni rodiče, a která se dá aplikovat v mnoha různých podobách a v případě ochrany dat velmi úspěšně. Jedná se o otřepaně znějící, ale o to pravdivější frázi „Kdo si hraje, nezlobí“. Pokud se útočník snaží kompromitovat námi nastrčený HoneyPot, nemá čas pokoušet se o kompromitaci našich produkčních systémů. V horším případě se včas o útoku dozvíme a v lepším případě je útočník odhalen dříve, než se dostane k produkčním systémům s ostrými daty.

Honeypot

Low-Interactive

Jedná se o HoneyPot, který je realizován pomocí nějakého software. Tento software simuluje nějakou zranitelnou službu, jako je například přihlašovací promt na směrovač Cisco se starou verzí IOS, která má bezpečnostní chybu, či MicroSoft IIS s bezpečnostní chybou nebo jinou službu náchylnou ke známému typu útoku. Nevýhodou tohoto způsobu realizace je skutečnost, že o útočníkovi zjistíme méně informací, než při použití High-Interactive HoenyPot, neboť je simulován pouze jistá služba a útočník nedostane možnost systém skutečně ovládnout, něco dělat, zametat po sobě stopy atd. Významnou výhodou tohoto způsobu nasazení je skutečnost, že dostáváme velmi jednoduše čitelný výstup, většinou v textovém souboru.

High-Interactive

Jedná se o HoneyPot, který je zpravidla realizován na nějakém virtuálním stroji (například VMWare) nebo přímo na nezabezpečeném systému. Výhodou tohoto nasazení je skutečnost, že se o útočníkovi dozvíme daleko větší množství věcí než v předchozím případě. Zjistíme například jeho motivaci a cíl, způsob jak uvažuje, „zametá stopy“ atd. Podstatnou nevýhodou tohoto způsobu realizace je způsob provozu a realizace. Pro vyhodnocení je nutné provést skutečně hloubkovou analýzu napadeného systému a také veškerého síťového provozu, který byl za dobu běhu HoneyPotu shromážděn. Zde se jedná o skutečně velice časově i odborně náročnou činnost.